Saltar para o conteudo
Avanet

Sophos Firewall - resolver problema ARP após mudança de firewall

Sophos Firewall

Ao mudar uma configuração de firewall, pode acontecer em casos raros que alguns alias IPs deixem de responder a pedidos ICMP (ping), enquanto outros alias continuam pingáveis. Este fenómeno ocorre com especial frequência quando a mudança altera a MAC address da firewall.

Uma configuração típica em redes modernas inclui vários alias IPs numa única interface WAN. Estes alias são frequentemente usados para gerir diferentes serviços a partir de uma única interface física. Ao trocar de firewall, por exemplo de outro fabricante para uma Sophos Firewall, ou ao mudar de modelo de hardware dentro do ecossistema Sophos, a MAC address da interface externa muda muitas vezes. Esta alteração pode causar problemas na tabela ARP (Address Resolution Protocol) de routers ou switches vizinhos, que continuam a associar os alias IPs às MAC addresses antigas e não os atualizam automaticamente.

A técnica por trás do problema

O protocolo ARP é responsável por resolver endereços IP em MAC addresses. Quando um host quer contactar um endereço IP na rede, envia um pedido ARP para descobrir a MAC address correspondente. A cache ARP guarda temporariamente estas associações para reduzir a carga da rede e acelerar a resolução. No entanto, se a MAC address de uma firewall mudar enquanto o endereço IP permanece igual, podem surgir conflitos, porque os dispositivos vizinhos talvez ainda estejam a tentar associar os endereços IP à MAC address antiga.

Numa situação destas, é possível que alguns endereços IP continuem pingáveis enquanto outros não respondem. Isto acontece porque a tabela ARP nos dispositivos vizinhos já atualizou corretamente a associação para determinados endereços IP, mas ainda contém informações antigas para outros.

ARP ping para atualizar a tabela ARP

Para resolver este problema, pode executar na Sophos Firewall um comando específico via SSH, que permite realizar um ARP ping manual para cada alias IP. Este comando força a firewall a iniciar um pedido ARP a partir do alias IP afetado, atualizando assim a tabela ARP nos dispositivos vizinhos.

system diagnostics utilities arp ping source interface

Suponhamos que um dos alias IPs que não responde a ping é 212.60.60.121 e que está configurado na interface Port2. O comando para atualizar a tabela ARP para este endereço é:

system diagnostics utilities arp ping source 212.60.60.121 interface Port2 212.60.60.120

Este comando envia um pedido ARP a partir do alias IP 212.60.60.121, através da interface Port2, para si próprio. Isto obriga todos os dispositivos vizinhos a atualizar as suas tabelas ARP com a MAC address correta para este IP.

Guia passo a passo para resolução de problemas:

  1. Ligar à Sophos Firewall via SSH: Primeiro é estabelecida uma ligação SSH à firewall. Para isso pode usar uma ferramenta como PuTTY ou a consola SSH integrada.
  2. Identificar alias IPs que não respondem a ping: No passo seguinte, verifica-se que alias IPs na interface WAN não respondem a ping.
  3. Executar comando ARP ping: Para cada alias IP que não responde a ping, é executado o comando ARP ping acima. Deve ter atenção para inserir corretamente o alias IP específico e a interface correspondente.
  4. Verificar resultados: Depois de executar o comando, verifica-se se os alias IPs que antes não respondiam passam agora a responder a pedidos ping.
  5. Reiniciar equipamentos de rede (se necessário): Em alguns casos, pode ser útil reiniciar equipamentos de rede adjacentes, como routers ou switches, para garantir que as tabelas ARP são completamente atualizadas.